Bezpieczeństwo danych i RODO

Zobowiązania OVH jako dostawcy hostingu:

Opracowaliśmy własną politykę bezpieczeństwa systemów informacyjnych (PBSI), opisującą ogół wprowadzonych przez nas rozwiązań w tym zakresie. Nasza polityka PBSI aktualizowana jest przynajmniej raz w roku lub w przypadku pojawienia się istotnych zmian mających wpływ na jej zawartość. Bezpieczeństwo naszych rozwiązań jest kontrolowane w ramach formalnych systemów zarządzania bezpieczeństwem informacji.

Działania zmierzające do zapewnienia ochrony obwodowej są koordynowane przez konkretne osoby:

• IT System Security Manager (ISSM);
• Security Manager, odpowiedzialny za procedury i projekty związane z ochroną obwodową;
• Data Protection Officer (DPO), który odpowiada za ochronę danych osobowych;
• Risk Manager, koordynujący zarządzanie ryzykiem w zakresie bezpieczeństwa oraz powiązanymi planami działań;
• Security Measures Manager, który wdraża i wykorzystuje stosowne mechanizmy w związku ze zidentyfikowanymi zagrożeniami.

Zobowiązania OVH jako dostawcy hostingu:

Aby utrzymać wymagany poziom zgodności i ocenić wydajność naszych systemów, regularnie przeprowadzane są audyty bezpieczeństwa. Wyróżniamy pięć ich rodzajów:

• Audyty zewnętrzne (certyfikaty, zaświadczenia, audyty klientów);
• Audyty wewnętrzne, przeprowadzane przez wewnętrznych lub zewnętrznych audytorów;
• Audyty techniczne (testy penetracyjne, skany podatności, przeglądy kodu) przeprowadzane przez wewnętrznych lub zewnętrznych audytorów;
• Audyty aktywności osób trzecich, przeprowadzane przez osobę odpowiedzialną za zarządzanie osobami trzecimi;
• Audyty centrów danych, przeprowadzane przez audytorów wewnętrznych. Charakter oraz częstotliwość, z jaką przeprowadzane są audyty zależą od rozwiązań i zakresu ochrony obwodowej. Za każdym razem, gdy wykryta zostaje niezgodność, stosowane są wobec niej środki zaradcze, dołączane do planu działań. Wszystkie te środki są śledzone i formalnie monitorowane oraz regularnie kontrolowane w celu ponownej oceny ich skuteczności.

Zalecenia dla klienta odpowiedzialnego za przetwarzanie danych:

Klient może przeprowadzać audyty techniczne (testy penetracyjne) na usługach hostowanych w ramach swojego konta, jak i w odniesieniu do poszczególnych elementów zarządzania usługą. Warunki przeprowadzania audytów spisane są w umowach lub są ustalane na wniosekklienta.

Zobowiązania OVH jako dostawcy hostingu:

Warunki przeprowadzania audytów spisane są w umowach lub są ustalane na wniosekklienta.

Zalecenia dla klienta odpowiedzialnego za przetwarzanie danych:

Klient powinien upewnić się, że środki bezpieczeństwa wdrożone przez OVH są adekwatne do rodzaju ryzyka, jakie wiąże się ze sposobem używania przez niego infrastruktury.

Zobowiązania OVH jako dostawcy hostingu:

Została opracowana i wdrożona formalna metodologia zarządzania sytuacjami związanymi z ryzykiem. Jest ona weryfikowana przynajmniej raz w roku lub w przypadku pojawienia się istotnych zmian. Metodologia ta dotyczy również danych osobowych oraz danych wrażliwych (z zakresu zdrowia, płatności, etc.).

Formalizuje przeprowadzone analizy: identyfikację zasobów, krytyczne procesy, zagrożenia i podatności.

Opiera się na normie ISO 27005. Pod koniec każdej analizy sporządzany jest plan działania w stosunku do zidentyfikowanego ryzyka. Jego wdrożenie ma miejsce przed upływem 12 miesięcy. Plan w sposób szczegółowy dokumentuje przeprowadzoną analizę i hierarchizuje działania, jakie należy podjąć. Każdy środek zaradczy dołączony jest do planów działań, kontrolowany i formalnie monitorowany. Ma też miejsce jego regularna weryfikacja w celu ponownej oceny skuteczności.

Zalecenia dla klienta odpowiedzialnego za przetwarzanie danych:

Klient powinien sprawdzić poprawność swoich danych kontaktowych, aby OVH mogło powiadamiać go o zmianach mogących mieć wpływ na jego usługi. W razie konieczności, do klienta należy wdrożenie niezbędnych działań w zakresie konfiguracji jego usług w celu uwzględnienia tych zmian.

Zobowiązania OVH jako dostawcy hostingu:

Wdrożona została ponadto formalna procedura zarządzania zmianami:

• Role i zakresy odpowiedzialności są jasno zdefiniowane;
• Określone zostały kryteria klasyfikacji służące identyfikacji etapów, jakie należy realizować podczas wprowadzania zmiany;
• Stosowane są zasady zarządzania priorytetami; realizowana jest analiza ryzyka związanego ze zmianami (jeśli ryzyko zostaje zidentyfikowane, Security Manager oraz Risk Manager biorą udział w zatwierdzaniu zmiany);
• Przeprowadzane są ewentualnie testy penetracyjne (jeśli dotyczy); zmiana jest planowana i programowana z klientami (jeśli dotyczy);
• Wdrożenie jest realizowane stopniowo (1/10/100/1000) a, w przypadku ryzyka, przewidziana jest procedura powrotu do poprzedniego stanu;
• Realizowany jest przegląd a posteriori poszczególnych zasobów, których dotyczy zmiana;
• Wszystkie etapy są dokumentowane w narzędziu do zarządzania zmianami.

Zobowiązania OVH jako dostawcy hostingu:

Na użytek programistów OVH wprowadzono stosowne, udokumentowane procedury. Opisują one zasady bezpiecznego rozwoju, środki „privacy by design” oraz politykę przeglądu kodu (wykrywanie podatności, obsługa błędów, zarządzanie dostępem i rekordami, bezpieczeństwo przechowywania i komunikacji).

• Przeprowadzane są również regularnie przeglądy kodu;
• Zatwierdzanie nowych funkcjonalności przed ich wdrożeniem, testy walidacyjne w środowisku (jeśli dotyczy) oraz stopniowe wdra��anie (1/10/100/1000);
• Podział ról i odpowiedzialności programistów oraz osób odpowiedzialnych za produkcję.

Zobowiązania OVH jako dostawcy hostingu:

Infrastruktura monitorowania jest wdrażana dla wszystkich usług OVH. Jej cele są różnorodne:

• Wykrywanie awarii związanych z produkcją i bezpieczeństwem;
• Kontrola funkcji krytycznych i wysyłanie komunikatów ostrzegawczych do systemu nadzoru;
• Powiadomienie osób odpowiedzialnych i wszczęcie odpowiednich procedur;
• Zagwarantowanie ciągłości działania usługi w odniesieniu do działań zautomatyzowanych;
• Zapewnienie integralności monitorowanych zasobów.

Zalecenia dla klienta odpowiedzialnego za przetwarzanie danych:

Klient powinien sprawdzić poprawność swoich danych kontaktowych, aby OVH mogło powiadomić go w przypadku wystąpienia awarii. Musi on również wdrożyć procedury zarządzania awariami mogącymi wystąpić w ramach jego systemu informacyjnego, włączając OVH jako potencjalne źródło zagrożenia.

Zobowiązania OVH jako dostawcy hostingu:

Wdrożony został proces zarządzania awariami pozwalający zapobiegać, wykrywać i radzić sobie z awariami mającymi miejsce w infrastrukturach zarządzania usługą, jak i w ramach samej usługi. Proces ten obejmuje:

• Dokumentację kwalifikacji zdarzeń z zakresu bezpieczeństwa;
• Obsługa zdarzeń z zakresu bezpieczeństwa;
• Ćwiczenia symulacyjne dla komórki kryzysowej;
• Testy planu reakcji na awarie;
• Komunikację z klientami realizowaną przez komórkę kryzysową.

Procesy te podlegają procedurze stałego ulepszania w zakresie nadzoru, ewaluacji, jak również globalnego zarządzania incydentami oraz działaniami naprawczymi.

Zalecenia dla klienta odpowiedzialnego za przetwarzanie danych:

Klient powinien sprawdzić poprawność swoich danych kontaktowych, aby OVH mogło powiadamiać go w przypadku wykrycia podatności w jego systemie informacyjnym.

Zobowiązania OVH jako dostawcy hostingu:

Opieka technologiczna w odniesieniu do nowych podatności jest zapewniona przez Security Managera i jego zespół. Podatności identyfikowane są dzięki:

• Informacyjnym stronom WWW;
• Ostrzeżeniom twórców i producentów wdrożonych rozwiązań;
• Incydentom oraz obserwacjom przekazywanym przez zespoły eksploatacyjne OVH, osoby trzecie lub klientów;
• Regularnie przeprowadzanym wewnętrznym i zewnętrznym skanom podatności;
• Audytom technicznym, jak również przeglądom kodu i konfiguracji.

Jeśli podatność zostaje wykryta, dedykowane do tego celu zespoły przeprowadzają analizę mającą na celu określenie jej wpływu na systemy oraz potencjalne scenariusze działań.

W razie konieczności, stosowane są środki łagodzące, a następnie opracowany zostaje plan działań naprawczych.

Każdy wdrożony środek włączany jest do planów działań, kontrolowany i formalnie monitorowany. Ma też miejsce jego regularna weryfikacja w celu ponownego oszacowania skuteczności.

Zalecenia dla klienta odpowiedzialnego za przetwarzanie danych:

Za ciągłość działania systemu informacyjnego odpowiada klient. Powinien upewnić się, czy standardowe rozwiązania wprowadzone przez OVH oraz wybrane przez klienta opcje i ustawienia dodatkowe pozwalają mu osiągnąć swoje cele.

Zobowiązania OVH jako dostawcy hostingu:

Różnorodne mechanizmy zapewniają ciągłość działania infrastruktur (dostępność sprzętu, aplikacji i procesów eksploatacyjnych):

• Ciągłość działania chłodzenia cieczą i powietrzem;
• Ciągłość i redundancja zasilania elektrycznego;
• Zarządzanie wydajnością sprzętu, za który odpowiada OVH;
• Wsparcie techniczne dla usług;
• Redundancja sprzętu i serwerów używanych do administracji systemów.

Jednocześnie inne mechanizmy, takie jak kopia bezpieczeństwa konfiguracji sieci i urządzeń, zapewniają przywrócenie usługi w przypadku incydentu.

OVH proponuje różne funkcjonalności zapewniające zachowanie kopii zapasowych oraz przywracania usług, których klient może używać jako funkcji włączonych do usługi podstawowej bądź jako opcji płatnych.

Zobowiązania OVH jako dostawcy hostingu:

Wprowadzone zostały środki mające na celu przeciwdziałanie zagrożeniom naturalnym i środowiskowym:

• Instalacja piorunochronów mających ograniczyć działanie fal elektromagnetycznych;
• Lokalizacja pomieszczeń OVH w strefach niezagrożonych powodzią i bez ryzyka sejsmicznego;
• Instalacja zasilaczy awaryjnych (UPS) o stosownej pojemności oraz transformatorów zapasowych z automatycznym przełącznikiem zasilania;
• Automatyczne przełączanie obciążenia na agregaty prądotwórcze o 24-godzinnej wytrzymałości;
• Instalacja systemu chłodzenia serwerów za pomocą cieczy (98% sal serwerowych pozbawionych jest klimatyzatorów);
• Instalacja jednostek do ogrzewania, wentylacji i klimatyzacji (system HVAC) w celu utrzymania stałej temperatury i poziomu wilgotności;
• Zarządzanie systemem wykrywania pożarów (w centrach danych przeprowadzane są co 6 miesięcy ćwiczenia przeciwpożarowe).

Zobowiązania OVH jako dostawcy hostingu:

Fizyczny dostęp do obiektów OVH opiera się na ścisłej ochronie obwodowej, aktywnej już od strefy wejścia na teren. Każde pomieszczenie jest odpowiednio sklasyfikowane:

• Strefy prywatne;
• Biura dostępne dla wszystkich pracowników i dla zarejestrowanych odwiedzających;
• Biura pod ścisłym nadzorem, do których dostęp mają tylko określone osoby;
• Strefy, w których mieści się sprzęt centrów danych;
• Strefy pod ścisłym nadzorem w centrach danych;
• Strefy centrów danych, w których zlokalizowane są krytyczne usługi.

Zobowiązania OVH jako dostawcy hostingu:

Wprowadzone zostały środki umożliwiające kontrolowanie dostępu do fizycznych obiektów OVH:

• Polityka dotycząca praw dostępu;
• Ściany (lub ich funkcjonalny ekwiwalent) pomiędzy poszczególnymi strefami;
• Kamery zainstalowane w punktach wejścia i wyjścia z obiektu, a także w salach serwerowych;
• Wejścia chronione, kontrolowane za pomocą czytników kart dostępu;
• Bariery z wiązkami laserowymi na parkingach;
• Czujniki ruchu;
• Mechanizmy antywłamaniowe zainstalowane w punktach wejścia i wyjścia z centrów danych;
• Mechanizmy wykrywania obecności (całodobowa ochrona fizyczna oraz monitoring);
• Stałe centrum nadzoru, kontrolujące otwieranie i zamykanie drzwi.

Zobowiązania OVH jako dostawcy hostingu:

Kontrola fizycznego dostępu opiera się na systemie kart dostępu. Każda karta połączona jest z konkretnym kontem OVH, które z kolei powiązane jest z daną osobą. W ten sposób można zidentyfikować każdą osobę w pomieszczeniach i uwierzytelnić mechanizmy kontroli:

• Każda osoba wchodząca do obiektów OVH musi mieć kartę dostępu z zakodowanymi na niej danymi identyfikacyjnymi;
• Tożsamość osoby musi być za każdym razem sprawdzona przed wydaniem karty dostępu;
• W obiektach OVH każda osoba musi nosić kartę w taki sposób, aby była ona widoczna;
• Na kartach dostępu nie może figurować nazwisko jej posiadacza ani nazwa firmy;
• Karta dostępu musi umożliwiać natychmiastową identyfikację kategorii osoby przebywającej na terenie OVH (pracownik, osoba trzecia, dostęp tymczasowy, gość);
• Karta dostępu jest dezaktywowana natychmiast po tym, gdy jej posiadacz traci prawo dostępu do obiektów OVH;
• Karta dostępu pracownika OVH jest aktywowana na czas trwania umowy o pracę; w przypadku innych kategorii jest automatycznie dezaktywowana po określonym czasie;
• Karta dostępu nieużywana przez okres trzech tygodni jest automatycznie dezaktywowana.

Zobowiązania OVH jako dostawcy hostingu:

Dostęp do drzwi przy użyciu karty

Zasady standardowej kontroli dostępu do pomieszczeń OVH:

• Drzwi podłączone są do centralnego systemu zarządzania prawami dostępu;
• Należy zbliżyć kartę do czytnika, aby drzwi zostały odblokowane;
• Prawo dostępu danej osoby jest weryfikowane w momencie odczytu karty przez czytnik;
• W przypadku awarii centralnego systemu zarządzania prawami dostępu uprawnienia skonfigurowane w momencie incydentu są ważne przez cały czas trwania zdarzenia;
• Zamki drzwi są zabezpieczone przed przerwami w dostawie prądu i w takich sytuacjach pozostają zamknięte.

Dostęp do drzwi przy użyciu karty

Niektóre strefy lub urządzenia są zamykane na klucz:

Klucze są przechowywane w scentralizowanych, osobnych dla każdego obiektu miejscach z ograniczonym dostępem, wyposażonych w depozytor;
Każdy klucz jest zidentyfikowany przy pomocy etykietki; • prowadzony jest inwentarz kluczy;
Użycie każdego z kluczy jest śledzone i identyfikowalne za pomocą specjalnego mechanizmu lub papierowego dziennika;
Depozytor kluczy jest codziennie sprawdzany według inwentarza.

Dostęp do centrów danych przez śluzy osobowe

Do centrów danych OVH można wejść wyłącznie przez śluzy osobowe:

Każda śluza wyposażona jest w dwoje drzwi oraz ograniczony obszar pomiędzy punktami kontroli, co gwarantuje przejście tylko jednej osoby na raz;
Jedne drzwi otwierają się wyłącznie w momencie, gdy drugie są zamknięte (ang. mantrap);
Śluzy wykorzystują ten sam system kart dostępu, co pozostałe drzwi i działają na tych samych zasadach;
Mechanizmy wykrywające obecność sprawdzają, czy wewnątrz śluzy przebywa tylko jedna osoba (ang. anti-piggybacking);
System skonfigurowany jest w taki sposób, aby uniemożliwić użycie karty do kilkukrotnego wejścia lub wyjścia (ang. anti-passback);
Umieszczona w pobliżu śluzy kamera monitoruje wchodzące osoby.

Dostęp do pomieszczeń przez śluzy towarowe

• Towary mogą być wprowadzane do centrów danych wyłącznie z wykorzystaniem przeznaczonych w tym celu stref:
• Strefa dostaw jest skonfigurowana w taki sam sposób, jak śluza osobowa, różni się jedynie większą powierzchnią, brakiem kontroli objętości i ciężaru oraz faktem, że czytniki kart dostępu zainstalowane są tylko na zewnątrz;
• Tylko towar przechodzi przez strefę dostaw, osoby muszą przejść przez śluzę osobową;
• W strefie dostawy umieszczona jest kamera bez martwych kątów.

Zalecenia dla klienta odpowiedzialnego za przetwarzanie danych:

OVH nigdy nie interweniuje bezpośrednio u klienta. To klienci odpowiadają za bezpieczeństwo swoich lokali.

Zobowiązania OVH jako dostawcy hostingu:

Poruszanie się osób odwiedzających i okazjonalnie świadczących usługi jest ściśle regulowane. Osoby te są rejestrowane przed wejściem na teren obiektu OVH i otrzymują kartę dostępu dla gościa lub dostawcy:

• Każda wizyta musi być zgłoszona z wyprzedzeniem;
• Za osoby trzecie odpowiedzialny jest pracownik OVH, który zawsze im towarzyszy;
• Tożsamość każdej osoby sprawdzana jest przed wejściem na teren obiektu;
• Każdej osobie trzeciej przydzielona zostaje na jeden dzień osobista karta dostępu, którą osoba ta musi zwrócić przed opuszczeniem obiektu;
• Wszystkie osoby muszą nosić karty dostępu w taki sposób, aby były one widoczne;
• Karty dostępu są automatycznie dezaktywowane po zakończeniu wizyty.

Zobowiązania OVH jako dostawcy hostingu:

Personel OVH jest uświadamiany o istocie bezpieczeństwa i w kwestiach zgodności z normami dotyczącymi przetwarzania danych osobowych:

• Zespoły pracownicze, których te kwestie dotyczą, zostają co roku odpowiednio przeszkolone;
• Co roku odbywają się szkolenia dla danych zespołów pracowniczych dotyczące przeprowadzania audytów;
• Co roku odbywają się szkolenia dla danych zespołów pracowniczych dotyczące usług technicznych;
• W momencie zatrudnienia nowych pracowników organizowane jest szkolenie uwrażliwiające na kwestie związane z bezpieczeństwem systemu informacyjnego (SI);
• Komunikaty związane z bezpieczeństwem są regularnie adresowane do wszystkich pracowników;
• Organizowane są kampanie testowe w celu upewnienia się, że wszyscy pracownicy reagują w sposób adekwatny w sytuacji zagrożenia.

Zobowiązania OVH jako dostawcy hostingu:

Wdrożona została rygorystyczna polityka zarządzania logicznymi dostępami pracowników OVH:

• Uprawnienia są przyznawane i monitorowane przez menadżerów zgodnie z zasadą najmniejszego uprzywilejowania oraz zasadą stopniowego zdobywania zaufania;
• Wszystkie uprawnienia są w miarę możliwości przypisywane do pełnionych ról, a nie indywidualnych osób;
• Zarządzanie prawami dostępu oraz uprawnieniami przypisanymi do użytkownika lub systemu realizowane jest w oparciu o procedurę rejestracji, modyfikacji i anulacji, która to procedura obowiązuje menadżerów, wewnętrzny dział IT oraz dział HR;
• Wszyscy pracownicy posługują się kontami imiennymi;
• Sesje połączenia zawsze mają określony czas wygaśnięcia, który zależy od każdej aplikacji;
• Tożsamość użytkowników jest weryfikowana przed każdą zmianą w metodach uwierzytelnienia;
• W przypadku utraty hasła przez pracownika, tylko jego przełożony oraz Security Manager są uprawnieni do zresetowania hasła;
• Konta użytkowników są automatycznie dezaktywowane, jeśli hasło nie zostanie odnowione po 90 dniach;
• Używanie kont domyślnych, ogólnych i anonimowych jest zabronione;
• Wdrożona zostaje rygorystyczna polityka dotycząca haseł;
• Użytkownik nie wybiera sam swojego hasła, służy do tego generator haseł;
• Minimalna długość hasła to 10 znaków alfanumerycznych;
• Hasło musi być odnawiane z częstotliwością co 3 miesiące;
• Przechowywanie haseł w niezaszyfrowanych plikach, przeglądarkach internetowych czy zapisywanie ich na papierze jest zabronione;
• Obowiązkowe jest używanie lokalnego programu do zarządzania hasłami zatwierdzonego przez zespoły ds. bezpieczeństwa;
• Każdy zdalny dostęp do systemu informacyjnego OVH realizowany jest poprzez VPN wymagający wprowadzenia hasła znanego tylko użytkownikowi oraz klucza współdzielonego skonfigurowanego w stacji roboczej.

Zobowiązania OVH jako dostawcy hostingu:

Wdrożona zostaje polityka zarządzania dostępami personelu administracyjnego do platform:

• Każdy dostęp personelu administracyjnego do systemu produkcyjnego odbywa się za pośrednictwem bastionu;
• Administratorzy łączą się z bastionami przez SSH, używając pary indywidualnych i imiennych kluczy publicznych i prywatnych;
• Połączenie z systemem docelowym jest realizowane albo przez współdzielone konto usługi albo przez konto imienne za pośrednictwem bastionów; • korzystanie z kont domyślnych w systemach i urządzeniach jest zabronione;
• Weryfikacja dwuetapowa, wraz z pełnym monitoringiem, obowiązkowa jest w przypadku zdalnych dostępów personelu administracyjnego oraz dostępów pracowników do wrażliwych obwodów;
• Administratorzy, poza standardowym kontem użytkownika, posiadają konto dedykowane wyłącznie do zadań administracyjnych;
• Uprawnienia są przyznawane i monitorowane przez menadżerów zgodnie z zasadą najmniejszego uprzywilejowania oraz zasadą stopniowego zdobywania zaufania;
• Klucze SSH są chronione hasłem spełniającym wymagania polityki bezpieczeństwa; • we współpracy z odpowiednimi służbami prowadzony jest regularny przegląd uprawnień i dostępów.

Zalecenia dla klienta odpowiedzialnego za przetwarzanie danych:

Do klienta należy zarządzanie oraz kontrola bezpieczeństwa zastosowanych przez klienta środków uwierzytelniania. Aby sprawniej zabezpieczyć dostęp do swojego konta, klienci mogą:• aktywować uwierzytelnianie dwuetapowe w Panelu klienta OVH ;• ograniczyć logowanie do określonej, uprzednio zdefiniowanej, listy adresów IP.

Zobowiązania OVH jako dostawcy hostingu:

Zarządzanie usługami OVH przez klienta ma miejsce z poziomu Panelu klienta lub API. Dostęp domyślny realizowany jest za pośrednictwem imiennego konta (identyfikator klienta) oraz hasła:

• Hasło wybrane przez klienta musi spełniać kryteria złożoności określone w interfejsie użytkownika;
• Na serwerach OVH przechowywane są jedynie skróty haseł (ang. hash);
• OVH oferuje możliwość aktywacji w Panelu klienta weryfikacji dwuetapowej z wykorzystaniem systemu jednorazowych haseł (OTP) wysyłanych w wiadomościach SMS, aplikacji mobilnej lub kompatybilnego klucza U2F.
• Klient może ograniczyć dostęp do swojego Panelu klienta tylko do wcześniej określonych adresów IP;
• Tokeny dostępu do API mogą być używane przez okres ich ważności bez potrzeby poddawania ich dodatkowym kontrolom;
• Wszystkie działania klientów w Panelu klienta lub API są rejestrowane;
• Klient może oddzielić zadania techniczne i administracyjne związane z zarządzaniem usługami.

Zalecenia dla klienta odpowiedzialnego za przetwarzanie danych:

Do klienta należy zapewnienie bezpieczeństwa stanowisk pracy oraz sprzętu mobilnego, służących do administrowania usługami i systemami.

Zobowiązania OVH jako dostawcy hostingu:

Zabezpieczenie standardowych stanowisk roboczych

Zostały wdrożone środki bezpieczeństwa dotyczące standardowych stanowisk roboczych pracowników OVH

• Automatyczne zarządzanie aktualizacjami;
• Instalacja i aktualizacja programu antywirusowego oraz regularne skanowanie; • instalacja aplikacji pochodzących wyłącznie z zatwierdzonego katalogu;
• Systematyczne szyfrowanie dysków twardych;
• Brak uprawnień administracyjnych dla pracowników w odniesieniu do ich stanowisk roboczych;
• Procedura postępowania względem potencjalnie zagrożonego stanowiska roboczego;
• Standaryzacja sprzętu;
• Procedura usuwania sesji oraz resetowania stanowisk roboczych po odejściu pracownika z firmy.

Zabezpieczanie urządzeń mobilnych

Zostały wdrożone środki bezpieczeństwa mające na celu ochronę osobistych urządzeń mobilnych pracowników lub urządzeń dostarczonych im przez OVH:

• Obowiązkowa rejestracja urządzeń w centralnym systemie zarządzania przed łączeniem się z zasobami wewnętrznymi OVH (WiFi, poczta e-mail, kalendarze, książki adresowe, etc.);
• Weryfikacja polityki bezpieczeństwa zastosowanej w urządzeniu (kod do odblokowywania, czas, po którym następuje blokada, szyfrowanie przechowywanych treści) ;
• Procedura zdalnego czyszczenia urządzeń w przypadku kradzieży lub zgubienia.

Zalecenia dla klienta odpowiedzialnego za przetwarzanie danych:

Klient jest jako jedyny odpowiedzialny za szyfrowanie treści komunikowanych poprzez sieć OVH.

Zobowiązania OVH jako dostawcy hostingu:

OVH dysponuje swoją własną siecią światłowodów o wysokiej wydajności, połączoną z licznymi mniejszymi operatorami i operatorami Tier-1. OVH zarządza swoją własną siecią szkieletową; zapewnia ona łączność z sieciami lokalnymi każdego centrum danych i łączy ruch między nimi.

Wszystkie urządzenia są zabezpieczone przy użyciu następujących środków:

• Prowadzenie inwentarza wewnątrz bazy zarządzania konfiguracjami;
• Proces zabezpieczania systemu, zwany utwardzaniem (ang. hardening), z przewodnikami opisującymi parametry, które należy zmodyfikować w celu zapewnienia bezpiecznej konfiguracji;
• Dostęp do funkcji administratora sprzętu jest ograniczony na podstawie list kontrolnych;
• Wszystkie urządzenia administrowane są za pośrednictwem bastionu, zgodnie z zasadą najmniejszego uprzywilejowania;
• Wszystkie ustawienia sprzętu sieciowego są zachowywane w kopiach zapasowych;
• Logi są nieprzerwanie gromadzone, centralizowane i monitorowane przez zespół operacyjny zarządzający siecią;
• Wdrażanie konfiguracji jest zautomatyzowane na podstawie zatwierdzonych szablonów.

Zobowiązania OVH jako dostawcy hostingu:

Wdrożona została polityka prowadzenia rejestrów serwerów i urządzeń używanych przez OVH do świadczenia usług:

• Wszystkie systemy oraz dane niezbędne do zapewnienia ciągłości usług, do rekonstrukcji systemu informacyjnego lub do przeprowadzenia analizy po zaistniałej awarii są zapisywane (pliki baz danych technicznych i administracyjnych, dzienniki aktywności, kody źródłowe aplikacji opracowanych wewnętrznie, ustawienia serwerów, aplikacji i sprzętu, itd.);
• Częstotliwość, czas oraz sposoby przechowywania kopii zapasowych są zdefiniowane zgodnie z potrzebami każdego zapisanego zasobu; • proces tworzenia kopii jest monitorowany i objęty systemem zarządzania ostrzeżeniami i błędami.

Zalecenia dla klienta odpowiedzialnego za przetwarzanie danych:

Klient jest jako jedyny odpowiedzialny za wprowadzenie polityki rejestracji swoich własnych systemów i aplikacji.

Zobowiązania OVH jako dostawcy hostingu:

Wdrożona została polityka prowadzenia rejestrów serwerów i urządzeń używanych przez OVH do świadczenia usług:

• Kopie zapasowe i scentralizowane przechowywanie dzienników;
• Wgląd od logów oraz ich analiza przez ograniczoną liczbę upoważnionych osób zgodnie z polityką przyznawania uprawnień i zarządzania dostępami;
• Podział zadań pomiędzy zespołami odpowiedzialnymi za operacje wykonywane na infrastrukturze monitoringu oraz zespołami odpowiedzialnymi za eksploatację usługi. Poniżej lista działań objętych obowiązkiem prowadzenia rejestrów:
• Logi serwerów kopii zapasowych, na których hostowane są dane klientów;
• Logi maszyn zarządzających infrastrukturą klienta;
• Logi maszyn do monitoringu infrastruktur;
• Logi programów antywirusowych zainstalowanych na wszystkich maszynach;
• Kontrola integralności logów i systemów, jeśli dotyczy;
• Zadania i zdarzenia realizowane przez klienta w jego infrastrukturze;
• Logi i alerty o wykryciu włamania do sieci, jeśli dotyczy;
• Logi urządzeń sieciowych;
• Logi infrastruktury kamer monitorujących;
• Logi maszyn administratorów;
• Logi serwerów czasu;
• Logi czytników kart dostępu;
• Logi bastionów.